יום רביעי, 16 באפריל 2008

התקן להסרת (Bagle (mdelk.exe, wintems.exe, flec006.exe










  • מידע על הווירוס

ידוע גם כ:

  • W32/Bagle.gen
  • PWS-Bluedit
  • Generic.dx

  • TROJ_BAGLE.OU
  • TROJ_BAGLE.AO
  • WORM_BAGLE.KO
  • Trojan.DL.VB.ACWT.Gen
  • Worm.Bagle.RR
  • Email-Worm.Bagle!sd5

  • Email-Worm.Win32.Bagle.jo
  • Trojan.Lodeight.C

ברוב המקרים הווירוס ימנע מתוכנת האנטיווירוס המותקנת במחשב מלפעול, יבטל את ה-Firewall ועוד מגוון שירותי מערכת ויהפוך את קבצי המערכת לזמינים לכל דורש ברשת.

הווירוס מועבר באמצעות הרשת.


  • קבצים

הווירוס יחדיר את הקבצים הבאים אל תיקיית המערכת:

  • System>\mdelk.exe
  • System>\wintems.exe
  • System>\IExplorer.dll .dbt
  • System>\ansi.exe
הווירוס יחדיר את הקובץ הבא אל תיקיית חלונות:
  • Windows>\fghrtuyjfghr.exe

הווירוס יצור את הקובץ והתיקייה:

  • AppData>\m\flec006.exe


  • Registry

הווירוס יוצר את הערכים הבאים:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    mule_st_key
    \m\flec006.exe
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    IESet
    IExplorer.dll .dbt
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
    IESet
    IExplorer.dll .dbt
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    IESet
    IExplorer.dll .dbt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
    (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
    (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
    (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
    (Default) = fghrtuyjfghr.exe %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dbt
    (Default) = DBTFILE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DBTFILE\shell\open\command
    (Default) = fghrtuyjfghr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    IESet = IExplorer.dll .dbt
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    EnableLUA
    0x00000000
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
    EnableLUA
    0x00000016
  • HKEY_CURRENT_USER\Software\FirstRRRun
    First12Ru123n
    0x00000001
  • HKEY_CURRENT_USER\Software\FirstRRRun
  • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
  • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\TestProg
ומוחק את הערכים הבאים:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\edit\command
    (Default)
    \System32\NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
    (Default)
    \NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command
    (Default)
    \NOTEPAD.EXE %1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
    (Default)
    \NOTEPAD.EXE %1



  • אזהרה

הווירוס מריץ את הקוד הזדוני בכל פעם שאתם ניגשים לכונן במחשב, לכן מומלץ להוריד את ההתקן ולשמור אותו על שולחן העבודה, להפעיל מחדש את המחשב במצב Safe Mode ולהריץ את ההתקן במצב Safe Mode בלבד.

התקן להסרת Bagle
להורדת ההתקן להסרת הווירוס על פי ההנחיות בעמוד זה - לחצו
על קישור ההורדה המתאים







3 תגובות:

מייקי אמר/ה...

הלינק של התוכנה להסרת flec006 לא עובד. אנא תקן. תודה.

Anon אמר/ה...

תוקן

Eran אמר/ה...

this is one of the hardest i have ever tried to scrub off my hard drive
this is something i have learned from forums responses at: http://www.kreslavsky.com/2008/02/wintermsexe-hldrrrexe.html
this method removes the wintems.exe trojan virus from your computer.

this first part is done using linux.
if you have a dual boot machine (Ubuntu and Windows Xp), use linux.
otherwise download knoppix live cd.

here goes:

1) start you computer in linux using Ubuntu or knoppix live CD.
2) mount your ntfs file system using something like:
mount /dev/sdaX /media (x is your ntfs partition)
and delete wintems.exe from c:\windows\system32\wintems.exe (mine was in /media/sda1)
also delete:
rm -f /media/WINDOWNS/system32/drivers/hldrrr.exe
and rm -f /media/WINDOWNS/system32/drivers/srosa.sys.
(it might be slightly different path or case-sensitive)
3. Then I delete the directory c:\windows\system\drivers\down or downld

4. reboot and start Windowx XP
5. I delete the registry key:

# Run regedit go to:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache


and see all entries regarding "C:\WINDOWS\system32\drivers" .
# In Explorer window Go to> tools>folder options>view and select show hidden files
# Browse to your C:\WINDOWS\system32\drivers ..
find drivers folder and try to delete all files listed in:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache




7. install Avast or AVG and make a full scan without problem

good luck!